1. 用戶管理
1.1 建用戶
adduser username
passwd username
1.2 將新建用戶添加至wheel組
- root登錄,修改
/etc/pam.d/su文件,找到#auth required pam_wheel.so use_uid這一行滞伟,將行首的#去掉罪既。 - 執(zhí)行
usermod -G wheel username
1.3 配置新建用戶可使用sudo命令
- 執(zhí)行
#vim /etc/sudoers - 找到
root ALL=(ALL) ALL载弄,復(fù)制一行祝迂,將root修改為username
1.4 刪除不需要的用戶,不需要的組
注意:不建議直接刪除缺狠,當(dāng)你需要某個(gè)用戶時(shí)问慎,自己重新添加會(huì)很麻煩。
-
cp /etc/passwd /etc/passwdbak#修改之前先備份-vi /etc/passwd#編輯用戶挤茄,在前面加上#注釋掉此行
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin #注釋掉ftp匿名賬號(hào)
-
cp /etc/group /etc/groupbak#修改之前先備份-vi /etc/group#編輯用戶組如叼,在前面加上#注釋掉此行
#news:x:9:13:news:/etc/news:
2.修改SSH連接
出于安全考慮,SSH服務(wù)配置做以下方面修改
- 修改端口
- 禁止root用戶登陸
- 支持密鑰登陸
- 禁用密碼登陸
編輯/etc/ssh/sshd_config文件
Port 22 #自己定義一個(gè)端口
HostKey /etc/ssh/ssh_host_dsa_key #支持密鑰登陸
PermitRootLogin no # 禁用root登陸
StrictModes yes # 采用putty等客戶端登陸需要改成no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no # 禁用密碼登陸
調(diào)用ssh-keygen -t rsa生成密鑰對(duì)驮樊,將公鑰上id_rsa.pub上傳至服務(wù)器~/.ssh目錄薇正,然后執(zhí)行cat id_rsa.pub >> authorized_keys
注意,操作完成后囚衔,新開一個(gè)連接檢測(cè)是否配置正常挖腰,不要關(guān)閉當(dāng)前連接,否則你可能永遠(yuǎn)都連不上你的服務(wù)器了练湿。猴仑。。。
3. 防火墻設(shè)置
3.1 禁止ping
- 如果沒有iptables禁止ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all #開啟
echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all #關(guān)閉
- 利用iptables規(guī)則禁ping
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
注意保存
service iptables save和重啟服務(wù)service iptables reload
4. 關(guān)閉selinux
/usr/sbin/setenforce 0 # 0立刻關(guān)閉 1立刻啟用
echo "/usr/sbin/setenforce 0" >> /etc/rc.local # 加到系統(tǒng)默認(rèn)啟動(dòng)里面
5. 關(guān)掉不必要的服務(wù)
chkconfig --list # 查看系統(tǒng)所有的服務(wù)是打開還是關(guān)閉
chkconfig 服務(wù)名 on # 設(shè)置隨機(jī)啟動(dòng)
chkconfig 服務(wù)名 off # 設(shè)置不隨機(jī)啟動(dòng)
6. 修改系統(tǒng)參數(shù)
**cat**
>>
/
etc/
sysctl.conf<<
eof net.ipv4.tcp_syncookies =
1
net.ipv4.tcp_tw_reuse =
1
net.ipv4.tcp_tw_recycle =
1
net.ipv4.tcp_fin_timeout =
30
net.ipv4.tcp_keepalive_time =
120
net.ipv4.ip_local_port_range =
10000
65000
net.ipv4.tcp_max_tw_buckets =
8000
eofsysctl -
p
ulimit -
HSn 65535
**echo**
-
ne "* soft nofile 65535* hard nofile 65535"
>>
/
etc/
security/
limits.conf
